Anfrage wegen Software unter NT-Systeme

[Markusr_ 10]

Hallo @all,

 

ich hab da ein problem, wo ich keinen rat mehr weiß und hoffe das Ihr mir hier weiter helfen könnt.

 

Ich bin nebenbei Administrator einer Schule und installiere die gesamte SW über die AD.

 

Ok das geht auch alles soweit, nun gibt es aber bei einigen Programmen rechte Probleme.

 

 

Da haben wir z.B. ein Lexikon was nur unter den Lokale Admin rechten läuft.

Da ich noch andere SW habe wo solch ähnliche prob. sind bin ich auf der suche, oder besser komme ich der Frage nach.

 

Jetzt weiss ich nicht so genau wie ich die Frage stellen soll,

 

Wie bekomme ich herraus an welchen Punkten der User mehr rechte bekommen muss als nötig, bei solch einer SW.

 

 

hoffe das die Frage klar ist.

 

Ach so bevor solche tipps kommen, ich habe den jeweiligen Programmen schon versucht volle zugriffsrechte zugeben und es ging nicht erst wenn ich dem User ebend Admin rechte gibe.

 

 

mfg

 

Markus

[phoenixcp 10]

Solche Probleme kenne ich zur Genüge. Zwei Tools kann ich dir da wärmstens empfehlen: RegMon und FileMon von SysInternals. Mit den beiden kannst du einmal auf Dateiebene und einmal auf Registryebene scannen, wo er Zugriffsverletzungen bekommt und dann die entsprechenden Rechte setzen. Damit kommst du um die Admin-Berechtigungen herum. :)

[Dr.Melzer 191]

Da es sich um eine Schule handelt habe ich den Beitrag mal in unser Government Forum verschoben.

[Markusr_ 10]

Danke wuste zuerst nicht so genau wohin jetzt weiss ich es.

 

Danke PhoenixCP:

Ok, habe diese beiden tools auch schon benutzt, dachte es gebe noch eine einfachere Methode.

 

 

Nun hab ich noch zwei prob`s.

 

1. Wenn ich SW verteile ist es so das alle auf alle SW zugriff haben dies wiell ich ber unterdrücken.

Wenn ich nun cacls nutze geht dies natürlich nihct da der Benutzer ja keine rechte hate die Sicherheitseinstellungen zu verändern. Da muss es doch eine möglichkeit geben die rechte über das Logon script festzulegen, oder?

 

2. Deamon Tool

Also da muss ich etwas ausholen, in der GS-Schule haben wir etwa 50 SW-Produkte nun hatte ich die damals sortiert nach:

1. Brauch eine CD beim benutzten der SW

2. Netzwerk betrieb

3. Keines von den ersten punkten

 

OK, nun bei dem Punkt eins gibt es selten probleme aber es gibt sie, ich brauche zum ausführen einiger SW das installations LW.

Wenn also die SW vom LW J installiert wurde muss die CD auch wieder da erreichbar sein.

Nun habe ich einige INI Files gefunden und auch Reg einträge.

OK, nun hatte ich mir diese angepasst aber es geht nicht, es muss immer das LW sein von wo man die Installation durchgeführt hat.

 

Von all der SW die eine CD brauchen habe ich jeweils ein Image erzeugt und in einem MSI packet gepackt.

Beim start wird dann über das DeamonScript die Cd eingelegt und natürlich sollte es auch gehen das dann das Prog. geht.

 

Das ist auch in den meisten fällen nur nicht bei den prog. wo z.B. das LW J verlangt wird.

 

Also dachte ich mir das ich das Deamon Tool anpasse nach meinen Wünschen und dieses dann über AD verteile.

Dies geht auch aber er nimmt mir immer das nächstliegende LW, vielleicht weiss ja jemand hier wir man dies ändern kann so das nach oder bei der Installton dsa LW J angelegt wird.

 

 

Bis dann

 

Markus

 

Sorry, wg Schreibfehler hab es etwas eilig.

[Markusr_ 10]

Eigentlich hätte es mir sofort einfallen müssen zu Punkt eins.

Denn ich arbeite viel mit der AD aber manchmal sieht man den Walt vor lauter bäumen nicht :-).

 

IN der AD gibt es ja den Punkt Script Ausführen beim STARTEN bzw beim Herrunterfahren

nun wenn man ja da ein SCRIPT hinzufügt in dem dann CACLS oder XCACLS benutzten dann sind die rechte zu dem jeweiligen prob. Hergestellt.

 

Nun brauche ich nur noch Hilfe zu Punkt 2.

 

 

Bis dann

 

Markus

[Gadget 37]

Hi Markus,

 

für dein Berechtigungs-Problem gibts aber von MSFT eigentlich schon ne eigene Gruppenrichtlinienerweiterung die Richtlinien für Softwareeinschränkung, mit deiner Skript Lösung gehts zwar aber .. is aber ein bisserl hinten durch die Brust.. oder denkst du da wie mach anderer ... wie so einfach wenns auch kompliziert geht? ;)

 

SO WIRD'S GEMACHT: Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003:

http://support.microsoft.com/default.aspx?scid=kb;de;324036

 

Richtlinien für Softwareeinschränkung

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/697cf804-36ae-4925-a56a-bc91b44dfcd9.mspx?mfr=true

 

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

 

LG Gadget

[Markusr_ 10]

Hallo Kohn,

 

leider etwas spät meine Antwort aber hatte viel zutun.

Also genau solch eine Lösung hab ich gesucht und so will ich das eigentich auch.

Daher werde ich dies auch so umsetzten.

 

Alles andere sind nur spielerein und das soll ebend nicht sein, zum Test ist es aber ok mit dem Script.

 

Vielleicht kannst Du mir ja noch eine Antwort auf eine Frage geben.

 

Da ich alles per MSI pakete verteile und dies auch sehr gut geht, hab ich trotzdem ein kleines prob. damit.

 

Weist Du ob man auch Teiber so Installieren kann? z.B. Scanner, zusätzliche Netzwerk Drucker usw.

 

Ich denke dies geht nur über Install Shield, oder?

 

Ich benutze um die Paketierung durchzuführen Wininstaller. Ganz einfach und ohne welchen schnickschnak.

 

 

Vielen Dank für die Antwort.

 

Markus

[Gadget 37]

Hi Markusr,

 

Weist Du ob man auch Teiber so Installieren kann? z.B. Scanner, zusätzliche Netzwerk Drucker usw.

 

Ich denke dies geht nur über Install Shield, oder?

 

in die Versuchung bin ich noch nicht gekommen, da ich Netzwerkdrucker nur per Script bzw. Policymaker Standard Edition (http://www.desktopstandard.com) installiere u. damit werden die Druckertreiber sowieso automatisch installiert.

 

http://www.gruppenrichtlinien.de/index.html?/HowTo/rundll32_printui.htm

 

Wieso Scannertreiber zentral installieren, wird der Scanner immer an andere Workstations angestöpselt? Hängt immer vom mitgelieferten Setup ab, wenns nen unatteded Switch in der Setup.exe gibt würde ichs per Skript machen.

 

LG Gadget

[Markusr_ 10]

Hallo Kohn,

 

Das mit dem Drucker hab ich nun hinbekommen diesen per AD zu verteilen.

 

Scanner? Ganz einfach wenn ich einen Typ von Scanner installiere auf jedem Client dann könnte man einfach den scanner anschließen wo man möchte und dieser würde dann auch gleich gehen.

 

Bei einer script installation müste ich dann auch wieder ein paar rechte mehr geben für die installation.

 

Grund warum es so umständlich ist, ist dieser "alle Rechner sind gleich um ich nun diesen oder den anderen benutze"

 

Da ich leider nicht immer zeit habe für die Schule kann ich wegen einem prob. nihct gleich zur schule fahren.

 

Wenn aber alle Client`s das selbe drauf haben und bei einem ein prob ist könnte man den Rechner nur tauschen und schon geht alles wieder.

 

Dieses System geht soweit sehr gut, nur manchmal gibt es wohl doch ein kleines prob wie das mit einem Scanner.

 

Bis dann

Markus

[Gadget 37]

Moin Markus,

 

die einfachste Lösung die ich dafür sehe, ohne die Rechte des einzelnen User zwecks Skript zu erhöhen, wäre der Einsatz der Remote Installation Services und einem Riprep - Image.

 

Creating an installation image with RIPrep

http://technet2.microsoft.com/WindowsServer/en/Library/e0826757-ea4d-407d-a1d9-39a31212120a1033.mspx

 

Remoteinstallation von Windows-Workstations

http://www1.microsoft.at/includes/Image.aspx?ID=10220&dl&type=1

 

Wer den Scanner benötigt muss einfach das vorgefertigte Riprep-Image aufspielen, was wirklich nicht schwer ist (kann fast vollautomatisiert werden).

 

Installationsrechte sind aber natürlich nötig:

 

http://support.microsoft.com/kb/224294/en-us

 

 

LG Gadget

[Markusr_ 10]

OK, dachte da würde es noch eine bessere lösung geben wie ebend MSI.

 

Dann mach ich es so.

 

danke

 

Markus